setembro 24, 2014

[Segurança] Competições de CTF

As competições de Capture The Flag (CTF) existem há muitos anos e são muito populares na área de segurança. Em geral, os times tem que resolver diversos desafios, que podem envolver invasão de redes ou servidores, análise forense, engenharia reversa, desafios de criptografia, etc. Também existem competições que juntam estratégias de ataque e defesa, aonde os times tem que defender um servidor ao mesmo tempo que resolvem os demais desafios de ataques.

Global CyberLympics, por exemplo, é uma competição internacional promovida pela EC-Council, com a participação de três mil equipes de todos os continentes, sendo mais de 70 países em 2014. É escolhida uma equipe de cada continente, que irá disputar a final em Barcelona nos próximos dias 29 e 30 de setembro (uma equipe Brasileira estará representeando a América do Sul!). A competição é focada em defesa, com etapas eliminatórias que testam as habilidades dos participantes em segurança.


Os CTFs são muito populares em eventos de segurança, com a vantagem de aproveitar o público que vai no evento para também participar da competição. Talvez uma das maiores e mais famosas é a competição realizada durante a Defcon, que junta times de todo o mundo e é realizada paralelamente ao evento, em uma sala dedicada, gigantesca.

Alguns eventos no Brasil, além da Ekoparty, na Argentina, realizam competições de CTF.
  • A H2HC é uma das pioneiras em realizar competições de CTF aqui no Brasil, sem dúvida. Ela já realizou competições 8 vezes, mas em 2011 não deu quorum, quando por coincidência o CTF fez parte de uma etapa do Cyberlimpcs. Neste ano, vão realizar novamente a competição.
  • O Roadsec, o evento de segurança organizado pela Flipside e que acontece em diversas cidades brasileiras, começou a organizar uma competição este ano, batizada de Hackaflag e que é patrocinada pela Symantec. Eles tem realizado uma etapa em cada cidade do evento e os vencedores de cada cidade ganham viagem e estadia para disputar a final em São Paulo, no dia 02/12. A próxima edição do Roadsec, com direito a participar do Hackflag, será neste final de semana (27/09), em Recife.
  • A Co0L BSidesSP é outro evento que já realizou duas competições de CTF, mas nos dois casos teve poucos competidores :(


Existem outras competições de CTF que acontecem online, pela web. São exemplos disso o Pwn2Win e o Hacking'n roll, ambos nacionais. Nestes casos, os interessados precisam apenas montar suas equipes e se cadastrarem. O Pwn2Win é um CTF híbrido pois tem uma etapa de Ataque (cujo objetivo é capturar a bandeira em um servidor de uma empresa fictícia) e outra "Jeopardy-style", aonde os competidores tem que resolver diversos desafios em Forense, Engenharia Reversa, Criptografia, Redes, etc. No Pwn2Win, a competição terá duração de 24 horas consecutivas, começando às 13h37 do dia 11/10.

As competições de CTF são uma ótima oportunidade de aprendizagem e de treinar suas habilidades. Mas as vezes tenho receio de que não sejam muito populares aqui no Brasil, pois já vi algumas competições nacionais com pouco ou nenhum participante :(

Nota (adicionada em 25/09): esqueci de citar o site CTF Time, que é uma iniciativa bem interessande de centralizar informações e rankings de várias competições de CTF em todo o mundo.
Postado por em
Marcadores: , , , , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.